"Biały kapelusz" w cieniu sieci. Prawne zagadki świata cyberbezpieczeństwa

Niedawno, dokładnie 24 lipca w siedzibie Google Warszawa odbyło się wydarzenie poświęcone podatnościom - Hackbreakers’ Meetup 24x03. Spotkanie zorganizowało GoCloud Polska.

Wystąpienie Michała Dondajewskiego, specjalisty od cyberbezpieczeństwa CERT Polska stanowiło uzupełnienie tematu o kwestie związane z funkcjonowaniem instytucji w zakresie podatności; ich zgłaszania, klasyfikacji, publikacji. Na sali gościł również mecenas Marcin Serafin z Kancelarii Rymarz Zdort Maruta, który omówił temat z prawnego punktu widzenia. O czym szerzej pisaliśmy już na łamach CyberDefence24.

Kim jest biały kapelusz?

„Biały kapelusz” to osoba, która wykorzystuje swoje umiejętności do identyfikowania słabych punktów w systemach komputerowych. W przeciwieństwie do tzw. czarnych kapeluszy, czyli hakerów, którzy wykorzystują luki w zabezpieczeniach do nielegalnych celów, białe kapelusze to ”pozytywni hakerzy” działający w dobrej wierze, zgłaszając odkryte podatności właścicielom systemów, umożliwiając im usunięcie zagrożenia.

Szara strefa prawa

Choć intencje białych hakerów są szlachetne, ich działania często znajdują się na granicy prawa. Czy poszukiwanie luk w zabezpieczeniach systemu, do którego nie mamy bezpośredniego dostępu, jest legalne? Jakie konsekwencje prawne mogą ponieść badacze bezpieczeństwa, którzy zgłoszą podatność, ale jednocześnie opublikują szczegółowy opis luki zanim zostanie ona naprawiona? Odpowiedzi na te pytania nie są jednoznaczne i różnią się w zależności od jurysdykcji.

Podczas wydarzenia Hackbreakers’ Meetup 24x03, przedstawiono interesujący przypadek związany z podatnością CWE-22. Odkryta luka w systemie została zgłoszona producentowi, jednak ze względu na wygaśnięcie cyklu życia produktu, firma nie zdecydowała się na jej naprawę. Mowa o D-Link DIR-859 router, jak mogliśmy przeczytać pod koniec czerwca tego roku: „Hakerzy wykorzystują krytyczną lukę w routerze w celu kradzieży haseł”. Był to jeden z przykładów zademonstrowanych podczas spotkania.

Na czym polega to zagrożenie? Wyobraź sobie, że aplikacja internetowa to dom, a pliki to pokoje. Haker, zamiast wejść przez drzwi, może znaleźć ukryte przejście i dostać się do dowolnego pomieszczenia. CWE-22 to właśnie takie ukryte przejście, które pozwala hakerowi ominąć zabezpieczenia aplikacji i uzyskać dostęp do miejsc, do których nie powinien mieć dostępu.

Jak haker może to wykorzystać?

Haker może manipulować linkami lub formularzami w aplikacji, dostając się do dowolnego pliku na serwerze. To tak, jakby podać zły adres, ale tak skonstruowany, że kurier zamiast podjechać pod twoje drzwi, trafiłby do magazynu.

Proces skoordynowanego ujawniania podatności (CVD)

Aby złagodzić potencjalne negatywne skutki publicznego ujawniania informacji o podatnościach, powstał mechanizm CVD (ang. Coordinated Vulnerability Disclosure). Dzięki temu procesowi, badacze bezpieczeństwa mają możliwość zgłoszenia odkrytych luk bezpośrednio do producentów oprogramowania, a następnie - we współpracy z nimi, opublikowania informacji o podatności w sposób, który minimalizuje ryzyko nadużycia.

Mówiąc o CVD nie sposób nie wspomnieć o CERT Polska (CSIRT NASK) - koordynatorze polskiego ekosystemu cyberbezpieczeństwa (o czym więcej w naszym artykule).

Działania etycznych hakerów, zwanych białymi kapeluszami są niezwykle cenne dla społeczności cyfrowej. Oprócz uznania za wykrycie i zgłoszenie luk w zabezpieczeniach, często otrzymują oni również nagrody finansowe. Jednym z popularnych mechanizmów nagradzania jest program Bug Bounty, który umożliwia specjalistom zgłaszanie odkrytych podatności i otrzymywanie za nie wynagrodzenia.

Czym jest program Bug Bounty i w jakim celu jest wprowadzany? Bug Bounty jest „polowaniem na błędy”, organizowanym przez np. gigantów technologicznych, takich jak Google czy Microsoft, czy instytucje rządowe. Dzięki nim specjaliści cyberbezpieczeństwa mają możliwość odkrywania błędów w systemach, często w zamian za niemałe pieniądze.

Etyka białego hakera

Bycie etycznym hakerem to nie tylko posiadanie technicznych umiejętności, ale również przestrzeganie pewnych zasad etycznych. Badacze bezpieczeństwa powinni działać w sposób odpowiedzialny, unikać nadmiernej eksploatacji odkrytych luk i zawsze mieć na uwadze potencjalne konsekwencje swoich działań.

Świat białych kapeluszy to fascynująca mieszanka pasji, wiedzy i etyki. Choć ich działalność jest niezwykle ważna dla bezpieczeństwa systemów informatycznych, wciąż pozostaje wiele pytań dotyczących prawnych i etycznych ram, w których się ona odbywa. Rozwój technologii oraz coraz większa świadomość zagrożeń cybernetycznych zmuszają nas do ciągłej refleksji nad tym, jak regulować działalność badaczy bezpieczeństwa, aby zapewnić zarówno ich ochronę prawną, jak i maksymalizację korzyści dla społeczeństwa.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].